Roma – Con una chiacchierata con Pietro Riva, country manager italiano di Cybertrust , società nata dalla recente fusione tra Betrusted e TruSecure, PI ha cercato di mettere a fuoco i problemi più caldi sul fronte della sicurezza.
Punto Informatico : Quali sono, in ordine di diffusione, le principali minacce alla sicurezza che le aziende devono oggi affrontare? Quali quelle emergenti?
Pietro Riva : La tradizionale distinzione è tra minacce interne ed esterne. Le minacce interne provengono dai cosiddetti utenti ?fidati? che effettuano operazioni non autorizzate. Ma poiché le aziende tendono sempre più ad avere contratti in insourcing e outsourcing, il concetto di utente fidato è diventato vago. E? quindi necessaria una maggiore attenzione e controllo su ciò che gli utenti sono autorizzati a fare (uso accettabile) e sul loro effettivo comportamento. Soprattutto alla luce di certe normative come il Sarbanes-Oxley, in base al quale l?accesso ai dati finanziari dovrebbe essere monitorato attentamente, questo elemento diventa fondamentale.
PI : Ci sono differenze apprezzabili tra Europa, USA e Asia?
PR : Anche qui, due sono i tipi di attacchi da considerare: minacce random, come virus, worm, script kiddies, malicious code, e attacchi mirati. Il numero degli attacchi random (virus, phishing) sta ancora crescendo in modo esponenziale. Gli attacchi che appartengono alla seconda categoria hanno dimensioni molto più contenute, ma sono più pericolosi. Negli ultimi due anni, si è registrato un numero sempre maggiore di attacchi DDOS mirati, furti di dati (?riavrai i tuoi dati se paghi subito 40.000 dollari?) e frodi finanziarie.
Per quanto riguarda chi effettua gli attacchi, esistono differenze geografiche. Ad esempio, molti attacchi mirati hanno origine nell?Europa dell?Est. Per quanto invece concerne le vittime, tuttavia, chiunque può esserlo, Internet è per definizione una rete globale, quindi non ci sono differenze da regione a regione.
PI : Quali sono le esigenze di sicurezza tipiche delle piccole e medie imprese e quali quelle delle grandi aziende e dei grossi enti pubblici? Quali tipi di difese devono attivare?
PR : La strategia di protezione è di norma la stessa per ogni tipo di organizzazione. Naturalmente, la portata della strategia dipende interamente dai rischi coinvolti. Ad esempio, i rischi per la sicurezza delle agenzie dei servizi segreti sono molto diversi da quelli di una piccola azienda che vende mobili via Internet.
Il processo (la sicurezza è un processo, non un progetto) inizia con l?identificazione dei rischi cui un?organizzazione è esposta. In base a tale analisi dei rischi, viene sviluppata una policy di sicurezza aziendale, un documento che deve essere breve, comprensibile e indipendente dalla tecnologia. Questa policy crea la base per policy e procedure più dettagliate (ad esempio, policy per le email, policy per la sicurezza di Internet, ecc.). Il passo successivo riguarda l?implementazione di controlli per la sicurezza che possono essere controlli fisici (ad esempio, i badge), controlli logici (ad es. l?implementazione di un firewall e di un sistema antivirus) e controlli amministrativi (ad es. le policy per le password). Ultimo elemento di questo ciclo è la gestione e il monitoraggio continuo dei controlli, che a loro volta porteranno a modifiche degli stessi.
PI : Distinguendo fra settore pubblico e privato, quanto si sta investendo oggi in sicurezza? L’Europa si può considerare al passo con gli USA in questo senso? E tali investimenti sono sufficienti a garantire una robusta copertura contro tutti i maggiori rischi di sicurezza? Qual è, in particolare, la situazione italiana?
PR : Pochi sono i dati disponibili sulla spesa globale per la sicurezza. In generale, le organizzazioni ad alto rischio, come le istituzioni finanziarie e militari, investono parecchio in sicurezza. Al contrario, le piccole e medie imprese, pensando che tanto non capiterà mai a loro, investono in sicurezza solo dopo essere state colpite.
PI : L’adozione di una piattaforma di computing open source, come Linux e Apache, può aiutare le aziende a tagliare i costi sulla sicurezza? Quali progressi ha compiuto Microsoft negli ultimi anni, soprattutto con il rilascio di Windows Server 2003?
PR : Microsoft è la principale protagonista in molti segmenti del mercato software. E? quindi normale che sia stata il primo target di molti hacker e ideatori di virus. Microsoft ha investito parecchie risorse nel miglioramento della qualità e del livello di sicurezza del proprio software, ottenendo quindi una sicurezza maggiore. Le piattaforme open source non sono necessariamente più sicure, ad esempio alcune vulnerabilità sono state riscontrate anche in software open source. In sintesi, la scelta tra un sistema proprietario e un sistema open source dovrebbe essere basata su diversi criteri, tra i quali la sicurezza.
PI : Quali sono le principali regolamentazioni e normative di legge in fatto di sicurezza che le aziende e gli enti pubblici devono seguire all’interno dell’Unione Europea? Quanto incidono sull’effettivo livello di sicurezza globale?
PR : Norme e regole contribuiscono sicuramente ad aumentare la sicurezza. Non esiste impatto diretto, ma le normative portano di fatto il tema sicurezza all?attenzione dei responsabili d?azienda e, pertanto, facilitano l?approvazione dei budget. Alcuni esempi di normative dell?Unione Europea; norme sulla privacy, leggi sui crimini informatici normative verticali come Basilea II e HIPAA (entrambe normative globali).
PI : Quanto sta crescendo l’uso delle tecnologie biometriche all’interno del mondo enterprise? Quali tipi di tecnologie di autenticazione e gestione delle identità state promuovendo sul mercato?
PR : La biometria viene utilizzata nelle aziende solo per i più alti livelli di protezione dei dati aziendali, tendenzialmente in casi molto specifici. L?uso maggiore di tecnologie biometriche si ha nella pubblica amministrazione e ora, dopo l?11 settembre, anche per i passaporti digitali, nei quali molte aziende hanno iniziato a investire. Quando questa tecnologia inizierà ad essere più diffusa e familiare, aumenterà l?utilizzo anche da parte delle aziende.
Cybertrust, ad esempio, offre già un set completo di soluzioni di autenticazione e identità digitali, nonché soluzioni di certificazione basate su UniCERT certificate authority, che operano insieme al software di convalidazione per garantire in tempo reale l?autenticità delle identità digitali basate sui certificati X509. Insieme a queste tecnologie, Cybertrust è coinvolta nella selezione e implementazione di molteplici prodotti di terze parti, per fornire una Identity Architecture completa per le aziende. Questi prodotti riguardano le aree di autenticazione e auditing delle autorizzazioni, enterprise directory e identità federate.
Grazie a un?architettura e implementazione complete delle identità, è possibile iniziare a sfruttare i vantaggi in diverse aree:
1. Riduzione dei costi, per il minore carico di lavoro per gli amministratori
2. Introduzione di nuove linee di business, grazie a un framework completo di identità.
3. Conformità alle normative, grazie all?amministrazione centralizzata e a un numero maggiore di tool di auditing e reporting.
4. Maggiore sicurezza, per la riduzione del lavoro di amministrazione degli account e per la presenza di policy e procedure per la gestione del ciclo di vita degli account
5. Vantaggi competitivi, grazie all?accelerazione con la quale nuove opportunità di e-business possono essere portate sul mercato.
PI : Come si stanno evolvendo le attuali tecnologie di sicurezza? Cosa bisogna attendersi, in questo settore, da tecnologie come l’autonomic computing e gli agenti intelligenti?
PR : Fra le più interessanti tecnologie in arrivo, i sistemi di intrusion prevention e le tecnologie ?scan and block?. La prima categoria permette di bloccare il traffico sospetto in tempo reale; la seconda consente di effettuare una serie di controlli prima di garantire a qualcuno l?accesso alla rete aziendale.
Ti potrebbe interessare
23 dic 2004